Buidheann Tèarainteachd Nàiseanta agus Biùro Sgrùdaidh Feadarail na SA , a rèir dè an 85mh prìomh ionad seirbheis shònraichte (85 GCSS GRU) thathas a’ cleachdadh ionad malware ris an canar “Drovorub”. Tha Drovorub a’ toirt a-steach rootkit ann an cruth modal kernel Linux, inneal airson faidhlichean a ghluasad agus puirt lìonra ath-stiùireadh, agus frithealaiche smachd. Faodaidh am pàirt teachdaiche faidhlichean a luchdachadh sìos agus a luchdachadh suas, òrdughan neo-riaghailteach a chuir an gnìomh mar an neach-cleachdaidh freumha, agus puirt lìonra ath-stiùireadh gu nodan lìonra eile.
Gheibh ionad smachd Drovorub an t-slighe chun fhaidhle rèiteachaidh ann an cruth JSON mar argamaid loidhne-àithne:
{
"db_host" : "",
"db_port" : "",
"db_db" : "",
"db_user" : "",
"db_password" : "",
"lport" : "",
"lhost" : "",
"ping_sec" : "",
"priv_key_file" : "",
"phrase" : ""
}
Tha MySQL DBMS air a chleachdadh mar backend. Tha protocol WebSocket air a chleachdadh gus teachdaichean a cheangal.
Tha rèiteachadh togte aig an neach-dèiligidh, a’ toirt a-steach URL an fhrithealaiche, an iuchair phoblach RSA aige, ainm-cleachdaidh agus facal-faire. Às deidh dhut am rootkit a chuir a-steach, thèid an rèiteachadh a shàbhaladh mar fhaidhle teacsa ann an cruth JSON, a tha falaichte bhon t-siostam leis a’ mhodal kernel Drovoruba:
{
«id» : «cbcf6abc-466b-11e9-853b-000c29cb9f6f»,
"iuchair": "Y2xpZW50a2V5"
}
An seo tha “id” na aithnichear sònraichte a chuir an frithealaiche a-mach, anns a bheil na 48 pìosan mu dheireadh a’ freagairt ri seòladh MAC eadar-aghaidh lìonra an fhrithealaiche. Is e am paramadair bunaiteach “iuchrach” sreang “clientkey” le còd base64 a bhios am frithealaiche a’ cleachdadh rè a’ chiad chrathadh làimhe. A bharrachd air an sin, faodaidh gum bi fiosrachadh anns an fhaidhle rèiteachaidh mu fhaidhlichean falaichte, modalan agus puirt lìonra:
{
«id» : «6fa41616-aff1-11ea-acd5-000c29283bbc»,
"iuchair": "Y2xpZW50a2V5",
"sgrùdadh" : {
"faidhle" : [
{
"gnìomhach" : "fìor"
«id» : «d9dc492b-5a32-8e5f-0724-845aa13fff98»,
"mask" : "faidhle deuchainn1"
}
],
"modal" : [
{
"gnìomhach" : "fìor"
«id» : «48a5e9d0-74c7-cc17-2966-0ea17a1d997a»,
"mask" : "modal deuchainn1"
}
],
"lìon" : [
{
"gnìomhach" : "fìor"
«id» : «4f355d5d-9753-76c7-161e-7ef051654a2b»,
"port": "12345",
"protocol" : "tcp"
}
] }
}
Is e pàirt eile de Drovorub an àidseant; tha fiosrachadh anns an fhaidhle rèiteachaidh aige airson ceangal ris an fhrithealaiche:
{
"client_login" : "cleachdaiche123",
"client_pass" : "pass4567",
"clientid" : "e391847c-bae7-11ea-b4bc-000c29130b71",
«clientkey_base64» : «Y2xpZW50a2V5»,
"pub_key_file" : "public_key",
"server_host" : "192.168.57.100",
"server_port" :" 45122",
"server_uri" : "/ws"
}
Tha na raointean “clientid” agus “clientkey_base64” a dhìth an toiseach; thèid an cur ris às deidh a ’chiad chlàradh air an fhrithealaiche.
Às deidh an stàladh, thèid na gnìomhan a leanas a dhèanamh:
- tha am modal kernel air a luchdachadh, a bhios a’ clàradh dubhan airson gairmean siostaim;
- bidh an neach-dèiligidh a’ clàradh leis a’ mhodal kernel;
- Bidh am modal kernel a’ falach pròiseas ruith an neach-dèiligidh agus am faidhle so-ghnìomhaichte air diosc.
Bithear a’ cleachdadh inneal meallta, leithid / dev/zero, gus conaltradh eadar an neach-dèiligidh agus am modal kernel. Bidh am modal kernel a ’parsadh a h-uile dàta a chaidh a sgrìobhadh chun inneal, agus airson a chuir an taobh eile bidh e a’ cur an comharra SIGUSR1 chun neach-dèiligidh, às deidh sin bidh e a ’leughadh dàta bhon aon inneal.
Gus an Lumberjack a lorg, faodaidh tu mion-sgrùdadh trafaic lìonraidh a chleachdadh a ’cleachdadh NIDS (chan urrainnear gnìomhachd lìonra droch-rùnach san t-siostam gabhaltach fhèin a lorg, leis gu bheil am modal kernel a’ falach na socaidean lìonra a bhios e a ’cleachdadh, riaghailtean netfilter, agus pacaidean a dh’ fhaodadh a bhith air an glacadh le socaidean amh) . Air an t-siostam far a bheil Drovorub air a chuir a-steach, lorgaidh tu am modal kernel le bhith a’ cur an àithne thuige gus am faidhle fhalach:
faidhle deuchainn suathaidh
mac-talla “ASDFZXCV: hf:testfile”> /dev/zero
ls
Bidh am faidhle “testfile” a chaidh a chruthachadh do-fhaicsinneach.
Tha dòighean lorgaidh eile a’ toirt a-steach mion-sgrùdadh cuimhne agus susbaint diosc. Gus casg a chuir air galar, thathas a’ moladh dearbhadh ainm-sgrìobhte èigneachail a chleachdadh air an kernel agus na modalan, a tha ri fhaighinn a ’tòiseachadh bho dreach Linux kernel 3.7.
Anns an aithisg tha riaghailtean Snort airson gnìomhachd lìonra a lorg ann an Drovorub agus riaghailtean Yara airson a cho-phàirtean a lorg.
Cuimhnichidh sinn gu bheil an 85mh GTSSS GRU (aonad armachd 26165) co-cheangailte ris a’ bhuidheann , le uallach airson grunn ionnsaighean saidhbear.
Source: fosgailtenet.ru